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BREVET D ' INVENTION 




CERTIFICAT D'UTILITE - CERTIFICAT D'ADDITION 



COPIE OFFICIELLE 



Le Directeur general de Klnstitut national de la propriete 
industrielle certifie que le document ci-annexe est la copie 
certifiee conforme d'une demande de titre de propriete 
industrielle deposee a I'lnstitut. 



Fait a Paris, le . 



0 3ja« mi 



Pour le Directeur general de I'lnstitut 
national de la propriete industrielle 
Le Chef du Departement des brevets 




Marline PLANCHE 
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NATIONAL Ot 
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INOUSTKICLLI 



26 bis. rue de Saint Petersbourg_ 
75800 Paris Cedex 08 

Telephone : 01 53 04 53 04 Telecopie : 01 42 94 86 54 



REMISE DES PIECES 

DATE 2-4 JAN 2001 
"*> 75 INPI PARIS 



N° D'ENREGISTREMENT 
NATIONAL ATTRIBUE PAR L'INPI 

DATE DE DEPOT ATTRIBUEE 
PAR L'INPI 



Q NATURE DE LA DEMANDE 


Cochez i'une des 4 cases suivantes 


Demande de brevet 




Demande de certificat d'utilite 


□ 


Demande divisionnaire 

Demande de bfvtvl initiate 
on demande de certificat d 'utilite initiate 


□ 

N° Date / / 
N° Date / / 


Transformation d'une demande de 
brevet europeen Demande de brevet initiate 


□ 

N° Date / / 



Reserve a riNPI> 



BREV9 D'INVENTION 
CERTIFICAT D'UTILITE 

Code de la propriete intellectuelle - Livre VI 

requEte EN D£UVRANCE 1/2 

Cet imprime est a remplir lisiblement a t'encre noire 



N° 11354*01 



OB 540W/26C899 



0100946 

2 % JAN. 



2001 



Vos references pour ce dossier 
(facnltatif) FR 3943 PB 



NOW! ET ADRESSE DU DEMANDEUR OU DU MAN DATA! RE 
A QUI LA CORRESPONDANCE DOIT ETRE ADRESSEE 

■ 

BULL S.A. 

Madame BERTRANDIAS Patricia 

68, route de Versailles 
PC : 58D20 

78434 LOUVECDSNNES Cedex 



| T1TRE DE L'INVENTION (200 caracteres ou espaces maximum) 

Procede et systeme de commumnication d'un certificat entre un module de securisation et un serveur 



Q DECLARATION DE PRIORITE 
OU REQUETE DU BENEFICE DE 
LA DATE DE DEPOT D'UNE 
DEMANDE ANTERIEURE FRANQAISE 


Pays ou organisation 

Date / / N° 
Pays ou organisation 

Date / / N° 
Pays ou organisation 

Date / / N° 

□ S'il y a d'autres priorrtes, cochez la case et utilisez rimprime «Suite» 


□ DEMANDEUR 


□ S'il y a d'autres demandeurs, cochez la case et utilisez rimprime aSuite» 


Nom ou denomination sociale 


BULL S.A. 


Prenoms 




Forme juridique 


Societe Anonyme 


N° SIREN 


6 4. 2 .0 .5 8 7 3 9. 


Code APE-NAF 


3Q0C | 


Adresse 


Rue 


68, route de Versailles 


Code postal et ville 


78430 1 LOUVECIENNES 


Pays 


France 


Nationality 


Frangaise 


N° de telephone (facnltatif) 


01.39.66.66.34 


N° de telecopie (facnltatif) 


01.39.66.61.73 


Adresse electronique (facnltatif) . 


patricia.bertrandias@bull.net 
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NATIONAL DC 
LA f ROPRieTt 
INDUSTRICL1E 



BREV# DIIMVENTION 

CERTIFICAT D'UTILITE 

REQUETE EN DEUVRANCE 2/2 



REMISE DES PIECES 

DATE 24 JAN 2001 
UEU 75 INPI PARIS 

N° D'ENREGISTREMENT 
NATIONAL ATTRIBUE PAR L'INPI 



^ Reserve a I'lNPI | - 



0100946 



Vos references pour ce dossier : 

(faatUatif) 



MANDATAIRE 



Nom 



Pre nom 



Cabinet ou Societe 



N °de pouvoir permanent et/ou 
de lien contractuel 



Adresse 



Rue 



Code postal et ville 



IM° de telephone (Jhcnliatifi 



N° de telecopie (J'acuHaiiJ) 



Adresse electronique (JhadtaUf) 



Q INVENTEUR (S) 



Les inventeurs sont les demandeurs 



RAPPORT DE RECHERCHE 



Etablissernent immediat 
ou etablissernent differe 



Paiemerit echelonne de la redevance 



□ REDUCTION DU TAUX 
DES REDEVANCES 



PB 540W/260899 



FR3943PB 



BERTRANDIAS 
Patricia 



BULL S.A. 



PG 4972 



68, route de Versailles 
7*430 ILOUVHCIENKES 



01.39.66.66.34 



01.39.66.61.73 



patricia.bertrandias@b\ill.net 



□ Oui 



G3 Non D ans ce cas fournir une designation d'inventeur(s) separee 



Uniquement pour une demande de brevet (y compris division et transformation) 



12 
□ 



Paiement en trois versements, uniquement pour les personnes physiques 

□ Oui 

□ Non 



Uniquement pour les personnes physiques 

□ Requise pour la premiere fois pour cette invention (joindiv an avis dinmn-imlwitnm ) 

□ Requise anterieurement a ce depot (johuhv une co/>i<> de la decision d admission 
jumr cette int 'en f inn on indiquer sa reference ) : 



Si vous avez utilise I'imprime «Suite», 
indiquez le nombre de pages jointes 



EE SIGNATURE DU DEMANDEUR 
OU DU MANDATAIRE 
(Nom et qualtte du signataire) 



Patricia BER 




VISA DE LA PREFECTURE 
OU DE L'INPI 



La loi n°78-17 du 6 Janvier 1978 relative a I'informatique, aux fichiers et aux libertes s'applique aux reponses faites a ce formulaire 
Elle garantit un droit d'acces et de rectification pour les donnees vous concernant aupres de I'lNPI. formulaire. 
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PROCEDE ET SYSTEME DE COMMUNICATION D'UN CERTIFICAT 
ENTRE UN MODULE DE SECURISATION ET UN SERVEUR 

La presente invention concerne le domaine des communications 
client-serveur s^curisees d'un systeme informatique et plus particulierement 
un precede et un dispositif de communication a une machine serveur d'un 
certificat provenant d'une machine client via un module de securisation. 

L'art anterieur 

Le protocole HTTP (Protocole de Transfert HyperTexte - HyperText 
Transfer Protocol) est un protocole de communication de niveau applicatif. 
Le protocole HTTP est utilise entre un client et un serveur pour transmettre et 
recevoir des donnees dans des requetes sans gestion d'etat : chaque 
requete est executee independamment Tune de I'autre sans connaissance 
des requetes pr6c£dentes. Le protocole HTTP ne prevoit aucun chiffrement. 
De plus, les m§canismes d'authentification mutuelle proposes par le 
protocole HTTP ne presentent aucune garantie. L'authentification est une 
procedure permettant d'obtenir et de verifier I'identite d'un interlocuteur 
§mettant des requetes HTTP. 

Pour r6pondre au probldme d'absence de chiffrement et 
d'authentification dans le protocole HTTP, les systemes actuels utilisent des 
protocoles de securisation tels que le protocole SSL (Couche de connecteurs 
logiciels securis6s - Secure Sockets Layer). Le protocole SSL permet de 
transmettre des documents de manidre securisee via le reseau de la toile. 
D'autres protocoles de securisation apparaissent tels que le protocole TLS 
(Securite de la couche transport - Transport Layer Security) qui est une 
extension du protocole SSL. Les protocoles de securisation tels que SSL ou 
TLS permettent de chiffrer les echanges et d'authentifier les interlocuteurs, 
dans le cas present le client et le serveur : ils offrent des services 
d'authentification, d'integrite et de confidentialite. 



1er depot 



Les protocoles de securisation tels que SSL et TLS utilisent des 
methodes d'authentification fortes basees sur des methodes 
cryptographiques a clefs publiques. Chaque interlocuteur possede une paire 
5 de cles asymetriques, appelees cles publique/privee : la cle utilisee pour 
chiffrer I'lnformation est differente de celle utilisee pour la dechiffrer. 

Les methodes cryptographiques a clefs publiques utilisent un certificat 
qui permet de verifier qu'une cle publique donnee est effectivement associee 

10 au detenteur legitime et que c'est bien lui qui I'utilise. Un certificat est un 
document numerique attestant de la propriete d'une cle publique par une 
personne. Un tel certificat doit etre emis par une institution reconnue 
exterieure au systeme securise, appelee autorite de certification (CA). Le 
certificat permet de prouver I'authenticite de la cle publique d'un utilisateur et 

15 done d'authentifier celui-ci sans ambiguTte. Lorsqu'une personne signe et 
§met un document, le destinataire obtient le certificat de la personne 
emettrice. Le destinataire peut verifier la veracite du certificat avec le 
certificat de Tautorite de certification ; il peut ensuite contrdler la signature de 
I'emetteur. 

20 

Le module de gestion du protocole SSL au niveau du serveur se 
trouve integre au serveur ou a une machine intermediaire appelee boitier de 
securisation ou frontal. Le boTtier de securisation est une machine en 
coupure de ligne en amont du serveur. Le boitier de securisation traite le 
25 protocole SSL. Le protocole SSL n'est pas implemente entre le boitier de 
securisation et le serveur. Le chiffrement et rauthentification s'executent 
entre le client et le boTtier de securisation. Le boTtier de securisation 
authentifie de maniere optionnelle le client notamment au travers d'un 
certificat. 
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Le probleme pose par la prEsente invention est I'absence dans le 
protocole HTTP de moyens permettant de remonter ledit certificat du boTtier 
de sEcurisation au serveur. 

Or, le certificat contient des informations susceptibles d'etre tres utiles 
pour le serveur telles que par exemple Tidentite reelle du client. 

Un but de la presente invention consiste a pallier le probleme 
d'absence de moyens de communication de certificat entre le boTtier de 
securisation et le serveur. 

Resume de 1'invention 

Dans ce contexte, la prEsente invention propose un precede de 
communication a une machine serveur d'un certificat d'un utilisateur 
provenant d'une machine client via un module de securisation d'un systeme 
informatique, le protocole utilise entre la machine client et la machine serveur 
etant le protocole HTTP ou Equivalent, un protocole de securisation du type 
SSL ou Equivalent Etant implEmente entre la machine client et le module de 
securisation, caractErisE en ce qu'il consiste & introduire ledit certificat dans 
un en-tete de tEmoin d'une requete du protocole HTTP ou Equivalent pour 
les transmettre du module de sEcurisation a la machine serveur. 

La prEsente invention concerne Egalement le systeme de mise en 
oeuvre dudit procedE, le programme mettant en oeuvre ledit procEdE et le 
boTtier de sEcurisation. 

Presentation des figures 

D'autres caractEristiques et avantages de invention apparaTtront a la 
lumiere de la description qui suit, donnEe a titre d'exemple illustratif et non 
limitatif de la prEsente invention, en rEfErence au dessin annexE dans lequel 
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la figure 1 est une vue schematique d'une forme de realisation du systeme 
selon I'invention. 

Description d'une forme de realisation de I'invention 



Comme le montre la figure 1 , le systeme 1 est distribue et compose de 
machines 2a, 2b, 2c organisees en un ou plusieurs reseaux 3. Une machine 
2 est une unite conceptuelle tres large, de nature materielle et logicielle. Les 
machines peuvent etre tres diverses, telles que par exemple des stations de 
1 0 travail, serveurs, routeurs, machines specialises, telephones ou passerelles 
entre machines. Seuls les composants des machines 2 du systeme 1 
caracteristiques de la presente invention seront decrits, les autres 
composants etant connus de I'homme du metier. Le reseau 3 est entendu au 
sens large a savoir tout moyen de communication entre machines. 



15 



Comme le montre la figure 1, dans la presente invention, le systeme 
est un systdme informatique 1 comprenant une machine 2a dite machine 
client associee a une entite appelante 4, dans le present exemple, un 
utilisateur 4, une machine 2b dite machine serveur apte a repondre aux 
20 requetes dudit utilisateur 4. L'utilisateur 4 est susceptible d'etre une personne 
physique, une machine, un module logiciel ou autre. L'utilisateur est compris 
dans la machine 2a client ou est exterieur a celle-ci (cas de la figure 1). 

Dans la forme de realisation illustree, la machine 2a client comporte 
25 un navigateur 5 et la machine 2b serveur se presente sous la forme d'un 
serveur. 

Le systeme 1 comprend un module 2c de securisation qui sera decrit 
plus loin. 



30 



Le protocole de communication entre la machine 2a client et la 
machine 2b serveur est le protocole HTTP ou tout protocole equivalent. Un 
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protocole equivalent aii protocole HTTP est un protocole qui implemente le 
transport de temoins (appeles dans le langage courant informattque cookies 
comme il sera vu plus loin). 

5 Le protocole HTTP definit une structure pour les messages transmis 

dans le sens client -> serveur et une structure pour les messages dans le 
sens serveur -> client. Chacun des messages comprend une ligne de debut 
(en anglais start-line), suivie d'un nombre quelconque d'en-tetes, une ligne 
vide et le corps du message. Les en-tetes permettent a la machine 2a client 

10 de transmettre a la machine 2b serveur des informations relatives a un 
message HTTP ou & Putilisateur 4 ou inversement a la machine 2b serveur 
de transmettre a la machine 2a client des informations relatives a un 
message HTTP ou a la machine 2b serveur. Des en-tetes sont definis dans 
le protocole HTTP mais il est possible d'en creer a titre provisoire ou 

15 experimental. 

Un en-tete est compose d'un nom unique suivi de « : » et de la valeur 
du champ. Les differents en-tetes sont separes entre eux par un retour 
chariot « CRLF » (Carriage Return Line Feed). 

20 

Le message HTTP suivant sera utilise a titre d'exemple : 

« GET /bar 2 HTTP/ 1.0 CRLF 

Connection : Keep-Alive CRLF 
25 User-Agent : Mozilla / 4.02 [en] (WinNT ; I) CRLF 

Host : bijou.mcom.com : 1999 CRLF 

Accept : image/gif, image/x-xbitmap, image/jpeg, image/pjpeg, 7* CRLF 
Accept-Language : en-US, en-GB, en CRLF 
Accept-Charset : iso-8859-1 , *, ntf-8 CRLF 

30 Cookies : cookie1=valeur1;cookie2=valeur2;%CERT=valeurducertificat CRLF 



Data » 
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L'expression « GET / bar 2 HTTP / 1.0 CRLF » 

correspond a la ligne de debut. Les expressions « Connection, User-Agent, 
Host, Accept, Accept-Language, Accept-Charset, Cookies » correspondent 
5 aux en-tetes du message HTTP. Les en-tetes sont composees d'un nom 
unique « Cookies » suivi de « : » et de la valeur du champ «cookie1 =valeur1 ; 
cookie2=valeur2; %CERT=valeur du certificat ». L'expression « Data » 
correspond au corps du message. 

10 Dans les communications entre client et serveur, un mecanisme de 

temoin appele dans le langage courant informatique cookie est de plus en 
plus utilise. 

Le temoin est une information envoyee par une machine 2b serveur, 
15 stockee du cote d'une machine 2a client dans une communication 
client/serveur et retrouvee par ladite machine 2b serveur lors d'une utilisation 
ulterieure. 

Lorsqu'une entite appelante et plus precisement un utilisateur 4 se 
20 connecte a un site du reseau de la toile, des informations sur I'utilisateur 4 
sont collectees dans un temoin par la machine 2b serveur et envoyees au 
navigateur de la machine 2a client qui les stocke pour une utilisation 
ulterieure. Les temoins sont vehicules dans les en-tetes des messages 
HTTP. 

25 

Dans I'exemple du message HTTP illustre, les temoins sont vehicules 
dans I'en-tete intitule « Cookies ». Le message comprend trois temoins 
«Cookie1», «Cookie2» et « %CERT » dont les valeurs respectives 
«valeur1», « valeur2 », « valeur du certificat » sont donnees apres les 
30 signes « = ». 
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Lorsque I'utilisateur se connecte a nouveau sur le site en question, le 
navigateur 5 envoie le temoin correspondant a la machine 2b serveur dans 
un en-tete de requete HTTP. La machine 2b serveur utilise les informations 
du temoin pour se configurer en fonction de I'utilisateur 4 qui I'appelle. Les 
5 informations en question sont par exemple une information personnelle dudit 
utilisateur 4 telle qu'un identifiant unique, une reponse a un questionnaire 
que I'utilisateur 4 a rempli sur le site yisite, une date et une heure a laquelle 
certaines pages ont ete lues... Generalement, un temoin enregistre les 
preferences de I'utilisateur 4 lorsqu'il utilise un site donne afin de preparer 
10 des pages personnalisees lorsqu'il se connecte a nouveau audit site. Le 
mecanisme de temoin permet egalement de changer les encarts publicitaires 
notamment lors d'une succession de pages requises, voire de les adapter a 
I'utilisateur 4 concerne ou encore de realiser des statistiques. 

15 Le protocole SSL est impl6mente entre la machine 2a client et le 

module 2c de securisation pour s6curiser les communications entre client et 
serveur. 

Dans une connexion SSL entre un client et un serveur, le client 
20 possede de maniere optionnelle un certificat de maniere a etre authentifie. Le 
certificat delivr§ par une autorite de certification est un moyen reconnu de 
presenter son identite ainsi que d'autres informations liees au detenteur du 
certificat (son identite, son nom unique, sa cle publique et I'algorithme de 
chiffrement lie ...), aux specifications de ce certificat (sa version, son numero 
25 de serie unique, sa periode de validity ...), et a I'autorite de certification qui 
Fa delivre (son identite, son nom unique, sa signature et I'algorithme utilise 
pour signer ...). La signature d'un certificat est un condense du nom unique 
du detenteur dudit certificat et de la cle publique dudit detenteur, chiffre avec 
la cle privee de I'autorite de certification. Chaque certificat a done sa propre 
30 signature ce qui permet de garantir I'authentification. Un utilisateur authentifie 
la cle publique d'un autre utilisateur simplement en dechiffrant la signature du 
certificat avec la cle publique de I'autorite de certification. 
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Dans le systeme 1, le module 2c de securisation gere un protocole de 
securisation. Le module 2c de securisation se presente sous la forme d'une 
machine 2 (forme de realisation illustree) ou d'un module logiciel integre a 
5 une machine 2 telle que la machine 2b serveur. 

Selon la forme de realisation de I'invention illustree sur la figure 1, le 
module 2c de securisation est une machine 2 intermediate. Le module 2c de 
securisation appelee boTtier de securisation ou frontal est en rupture de ligne 
10 en amont de la machine 2b serveur. 

Le module 2c de securisation permet la gestion d'un protocole de 
securisation tel que SSL ou TLS ou equivalent. Un protocole equivalent au 
protocole SSL ou TLS est un protocole permettant I'authentification de 
15 I'utilisateur 4 au moyen de certificat. Le module 2c de securisation permet la 
transmission de certificat de la machine 2a client vers la machine 2b serveur. 

Le module 2c de securisation comprend des moyens 6 d'analyse 
permettant de requerir un certificat de I'utilisateur 4 aupres de la machine 2a 
20 client, de recuperer le certificat de I'utilisateur 4 requis aupres de la machine 
2a client et de I'envoyer a la machine 2b serveur. Dans la forme de 
realisation illustree, les moyens 6 d'analyse se presentent sous la forme d'un 
module logiciel integre au module 2c de securisation. 

25 Le certificat de la machine 2a client requis par la machine 2b serveur 

lors de I'authentification mutuelle du protocole SSL est transmis de la 
machine 2a client au module 2c de securisation. Le protocole SSL n'etant 
pas implement entre le module 2c de securisation et la machine 2b serveur 
et le protocole HTTP ne permettant pas de transmettre des certificats, le 

30 certificat contenant des informations precieuses est bloque au niveau du 
module 2c de securisation. La presente invention consiste a transmettre le 
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certificat du module 2c de securisation a la machine 2b serveur dans un en- 
tete de temoin des requetes HTTP. 

^information constitute par le certificat n'est pas une information 
5 destinee a constituer un temoin. Le certificat ne provient pas de la machine 
2b serveur et n'est pas stockee par la machine 2a client. Cependant, un des 
buts initiaux du t§moin demeure a savoir v6hiculer des informations 
concernant I'emetteur d'une requete HTTP. 

10 La machine 2b serveur beneficie ainsi des informations contenues 

dans le certificat telles que : 



■ la cte publique ; 

■ le nom du proprietaire ; 

15 "la date d'expiration du certificat ; 

■ le nom de I'autorite de certification ; 

■ le num§ro de s6rie du certificat ; 

■ la signature de I'autorite de certification. 

20 Le transport de certificat au moyen d'en-tete de temoin de requetes 

HTTP n'entrame aucune modification de la machine 2b serveur. En effet, la 
machine 2b serveur n'analyse pas les en-tetes de temoin : elle les transmet 
directement & Tapplication concernee. 



25 Le procede selon la presente invention se deroule de la maniere 

suivante. 

Uutilisateur 4 demande Tacces ^ une page d'un site determine a Taide 
du navigateur 5. Le navigateur 5 envoie une requete HTTP/SSL au travers 
30 du reseau 3 a la machine 2b serveur. Le navigateur 5 requiert Padresse 
universelle (en anglais URL - Uniform Ressource Locator) de la page 
securisee du site en question avec le prefixe « https:// ». La requete, appelee 
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requete d'acces, est intercepts par le module 2c de securisation qui traite 
les services de securisation offerts par le protocole de securisation utilise a 
savoir dans le present exemple le protocole SSL. Une connexion TCP est 
initialisee. Le dialogue commence par le protocole appele en anglais 
5 « handshake » (poignee de main - reconnaissance mutuelle) au cours duquel 
s'effectue la reconnaissance mutuelle de I'utilisateur 4 et du module 2c de 
securisation et un echange de cles. 

Dans les specifications du protocole SSL, ('authentication de 
1 0 I'utilisateur 4 est optionnelle. Dans la presente invention, I'authentification de 
I'utilisateur 4 reste optionnelle : si elle est requise, les moyens 6 d'analyse du 
module 2c de securisation reclament I'envoi dans la procedure 
« handshake » d'un certificat par la machine 2a client. Les moyens 6 
transmettent le message SSL « Certificate Request » a la machine 2a client 
15 au travers du reseau 3. 

La machine 2a client repond en transmettant au travers du reseau 3 le 
certificat de I'utilisateur 4 au module 2c de securisation. Le certificat est 
envoye par la machine 2a au moyen du message SSL « Certificate » 

20 

Le module 2c decode le message HTTP et recupere le certificat de 
I'utilisateur 4 s'il a ete requis par le module 2c. 

Le protocole handshake du protocole SSL ayant abouti, et dans le cas 
25 ou un certificat a ete requis et recupere par le module 2c lors du protocole 
handshake, les moyens 6 d'analyse recherchent dans la requite HTTP 
d'acces a la page securisee du site en question provenant de la machine 2a 
client si un en-tete de temoin existe, a savoir s'il existe un en-tete intitule 
« Cookies ». Dans I'exemple illustre, I'en-tete « Cookies » est detecte Si 
30 aucun en-tete de temoin n'est present, les moyens d'analyse creent un en- 
tete de temoin. 
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Dans Pen-tete de temoin existante ou creee, les modules d'analyse 
ajoutent un temoin specifique auquel ils attribuent par exemple un nom par 
defaut : dans Pexemple illustre, le temoin CERT est ajoute a Pen-tete 
Cookies. Le nom par defaut, dans le present exemple le nom CERT, est un 
nom configurable permettant a la machine 2b serveur de distinguer ledit 
certificat parmi les differents temoins. Le temoin specifique ajoute a pour 
valeur le certificat recupere de Putilisateur 4, a savoir dans Pexemple illustre 
« valeur du certificat ». 

Dans Pexemple illustr6, les moyens 6 d'analyse recherchent 
I'expression « CRLF Cookies : ». Une fois Pen-tete de temoin retrouve, les 
moyens 6 d'analyse recherchent le signe « CRLF » pour atteindre la fin de 
Pen-tete de temoin. Les moyens 6 inserent a la fin de Pen-tete temoin 
I'expression « %CERT=valeur du certificat CRLF ». 

Les moyens 6 d'analyse suppriment du certificat, dans Pexemple 
« valeur du certificat », ins6r£ dans le temoin specifique tous les separateurs 
utilises dans les en-tetes tels que CRLF, « ; » et « , » et les remplacent par 
exemple par un espace. Les separateurs sont supprim6s du certificat pour 
eviter qu'ils soient interpretes comme constituant plusieurs temoins ou en- 
tetes. 

Les moyens 6 d'analyse transmettent la requete HTTP d'acces 
contenant le certificat a la machine 2b serveur. La machine 2b serveur 
transmet directement les t§moins regus et en particulier le certificat a 
I'application concernee. 

Le procede selon invention consiste ainsi a recuperer le certificat de 
Putilisateur transmis de la machine 2a client a la machine 2b serveur, a 
introduire ledit certificat dans un en-t§te de temoin d'une requete HTTP 
d'acces et a envoyer la requete HTTP d'acces contenant ledit certificat a la 
machine 2b serveur. 
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La presente invention concerne done un precede de communication a 
la machine 2b serveur d'un certificat de I'utilisateur 4 provenant de la 
machine 2a client via le module 2c de securisation caracterise en ce qu'il 
5 consiste a introduire ledit certificat dans un en-tete de temoin d'une requete 
du protocole HTTP ou equivalent provenant de la machine 2a client pour les 
transmettre du module 2c de securisation a la machine 2b serveur. 

Le precede selon I'invention consiste a retirer dudit certificat tous les 
10 separateurs utilises dans les en-tetes des messages HTTP avant son 
introduction dans un en-tete de temoin. 

Le precede consiste a rechercher, avant 1'introduction dudit certificat dans 
un en-tete, si un en-tete de temoin est present dans la requete HTTP 
1 5 provenant de la machine 2a client et dans le cas contraire, a en creer un. 

Le precede selon I'invention consiste a ajouter un temoin specifique dans 
I'en-tete de temoin existante ou creee, un nom par defaut configurable etant 
attribue audit temoin specifique permettant a la machine 2b serveur de 
20 distinguer le certificat parmi les temoins de la requete HTTP ou equivalent. 

Le precede consiste a transmettre a la machine 2b serveur la requete 
HTTP ou equivalent provenant de la machine 2a client dans laquelle a ete 
introduit le certificat. 

25 

La presente invention concerne egalement la machine 2c de securisation 
permettant de securiser les echanges entre la machine 2a client et la 
machine 2b serveur, caracterisee en ce qu'elle comprend les moyens 6 
d'analyse permettant la transmission du certificat dans un en-tete de temoin 
30 d'une requete HTTP ou equivalent. 

La presente invention porte aussi sur le systeme comprenant la machine 
2a client, la machine 2b serveur, le module 2c de securisation, caracterise en 
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ce que le module 2c de securisation comprend les moyens 6 d'analyse 
permettant la transmission d'un certificat provenant de la machine 2a client 
dans un en-tete de temoin d'une requete HTTP ou equivalent provenant de 
la machine 2a client. 

La presente invention se rapporte egalement au programme integre au 
module 2c de securisation permettant Pexecution du procede decrit ci-dessus 
lorsque le programme est execute sur une machine. 
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REVINDICATIONS 



1. Procede de communication a une machine (2b) serveur d'un certificat d'un 
utilisateur (4) provenant d'une machine (2a) client via un module (2c) de 
5 securisation d'un systeme (1) informatique, le protocole utilise entre la 
machine (2a) et (2b) etant le protocole HTTP ou equivalent, un protocole de 
securisation du type SSL ou equivalent etant implements entre la machine 
(2a) client et le module (2c) de securisation, caracterise en ce qu'il consiste a 
introduce ledit certificat dans un en-tete de temoin d'une requete du 
10 protocole HTTP ou equivalent pour les transmettre du module (2c) de 
securisation a la machine (2b) serveur. 

2. Procede selon la revendication 1, caracterise en ce qu'il consiste a retirer 
dudit certificat tous les separateurs utilises dans les en-tetes des messages 

1 5 HTTP avant son introduction dans un en-tete de temoin. 

3. Procede selon Tune des revendications 1 ou 2, caracterise en ce qu'il 
consiste a rechercher, avant I'introduction dudit certificat dans un en-tete, si 
un en-tete de temoin est present dans la requete HTTP provenant de la 

20 machine (2a) client et dans le cas contraire, a en creer un. 

4. Procede selon la revendication 3, caracterise en ce qu'il consiste a ajouter 
un temoin specifique dans I'en-tete de temoin existante ou creee, un nom par 
defaut configurable etant attribue audit temoin specifique permettant a la 

25 machine (2b) serveur de distinguer le certificat parmi les temoins de la 
requete HTTP ou equivalent. 

5. Procede selon Tune des revendications 1 a 4, caracterise en ce qu'il 
consiste a transmettre a la machine (2b) serveur la requete HTTP ou 

30 equivalent provenant de la machine (2a) client dans laquelle a ete introduit le 
certificat. 
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6. Machine (2c) de securisation permettant de securiser les echanges entre 
une machine (2a) client et une machine (2b) serveur d'un systeme (1) 
informatique, le protocole utilise entre la machine (2a) et (2b) etant le 
protocole HTTP ou equivalent, un protocole de securisation du type SSL ou 
5 equivalent etant implements entre la machine (2a) client et ladite machine 
(2c) de securisation, caracterisee en ce qu'elle comprend des moyens (6) 
d'analyse permettant la transmission d'un certificat dans un en-tete de 
temoin d'une requete HTTP ou equivalent. 

10 7.Systeme comprenant une machine (2a) client, une machine (2b) serveur, 
un module (2c) de securisation, le protocole utilise entre la machine (2a) et 
(2b) etant le protocole HTTP ou equivalent, un protocole de securisation du 
type SSL ou equivalent etant implements entre la machine (2a) client et 
module (2c) de securisation, caracterise en ce que le module (2c) de 

15 securisation comprend des moyens (6) d'analyse permettant la transmission 
d'un certificat provenant de la machine (2a) client dans un en-tete de temoin 
d'une requete HTTP ou equivalent. 

8. Programme integn§ a un module (2c) de securisation permettant 
20 I'execution du procede selon I'une des revendications 1 a 5 lorsque le 
programme est execute sur une machine. 
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